Nach Angaben von Cato Networks verfolgten die Forscher die komplette Operation über 33 Tage hinweg und zeichneten 339 Befehle auf. Möglich wurde das, weil der Angreifer mehrfach sein Home-Verzeichnis preisgab, Storage-Buckets nach seinem eigenen Handle benannte und sogar eine Testdatei mit wiederholt eingegebenen eigenen Tastenanschlägen im Keylogger-Paket zurückließ. Cato beschreibt „Poisson“ nicht als APT, sondern als unerfahrenen Operator mit einfacher Infrastruktur aus DuckDNS, Backblaze B2 und einem günstigen IONOS-VPS in Berlin. Etwa die Hälfte seiner Versuche schlug fehl, kompromittiert wurden laut Cato dennoch vier Rechner.

Die Schadsoftware lief fast vollständig im Arbeitsspeicher. Ein VBScript-Stager mit Verzögerung zur Sandbox-Umgehung entschlüsselte einen PowerShell-Loader, der wiederum einen .NET-Loader nachlud. Dieser startete den Demon-Agenten des Frameworks Havoc, ohne die Implantate auf der Festplatte abzulegen. Für erhöhte Rechte setzte der Angreifer auf „Start-Process -Verb RunAs“. Cato betont, dass das keine unauffällige UAC-Umgehung ist: Der Windows-Zustimmungsdialog erscheint und wartet auf eine Bestätigung. Bei einem Opfer brauchte der Täter dafür ein Dutzend Versuche über zwei Tage.

Anschließend folgte die Absicherung des Zugriffs. Eingerichtet wurden eine geplante Aufgabe mit höchsten Rechten bei jeder Anmeldung, in Explorer.exe injizierter Shellcode sowie eine eigens gebaute RustDesk-Variante als Ausweichkanal. Der Diebstahl von Zugangsdaten lief über einen Python-Keylogger mit rund 70 Zeilen Code, der Tastenanschläge in eine lokale Datei schrieb. Ein Beacon oder ein Exfiltrationsserver waren nicht vorhanden. Stattdessen meldete sich der Angreifer laut Cato manuell an, holte die Datei selbst ab und verhinderte mit powercfg, dass die betroffenen Systeme in den Ruhezustand wechselten.

Entscheidend war dann eine nächtliche Sitzung von fünf Stunden am 7. April. In diesem Zeitraum installierte der Angreifer OpenSSH Server und Tailscale, verband den Rechner des Opfers mit seinem privaten Tailscale-Netz und richtete schlüsselbasiertes SSH sowie einen Reverse-Tunnel ein. Damit konnte er das System über das verschlüsselte Mesh von Tailscale erreichen, ohne C2-Verbindung und ohne offengelegte Ports.

Am darauffolgenden Tag fiel die Havoc-Infrastruktur aus. Warum, sagt Cato nicht. Für die Forscher ist vor allem relevant, dass der Tailscale-Zugang auf einem getrennten Netzwerkpfad weiterlief. Als der C2-Server am 26. April zurückkehrte, verbanden sich die Agenten automatisch wieder, ohne dass eine erneute Kompromittierung nötig war. In den letzten fünf Tagen führte der Angreifer noch 145 weitere Befehle aus, untersuchte Smartcard- und Zertifikatsspeicher, startete zwei nicht erklärte Programme aus einer Datei namens Thales.zip für insgesamt etwa 32 Minuten und löschte anschließend 17 Dateien, bevor die Aktivität am 1. Mai endete.

Das Ziel des Angreifers war laut Cato eng begrenzt. Die Forscher fanden keine Hinweise auf Mimikatz, keine seitliche Bewegung, keine Ransomware und auch keine Anzeichen dafür, dass die durchsuchten Dokumente — von Steuerunterlagen bis zu Versicherungen — exfiltriert wurden. Im Fokus standen demnach Eingaben von Nutzern: Bank-Anmeldedaten, E-Mail-Passwörter und Zugänge zu Regierungsportalen.

Cato ordnet den Fall auch im Kontext bekannter Werkzeuge ein. Dem Bericht zufolge nutzte Chinas APT31 Tailscale bis 2024 und 2025, um unauffällig aus russischen IT-Firmen heraus zu tunneln. Scattered Spider setzte auf legitime Fernzugriffswerkzeuge wie Ngrok und Fleetdeck, und RustDesk tauchte auch bei jüngeren Akira-Ransomware-Einbrüchen auf. Der Kernpunkt der Analyse: Signierte und legitime Programme fallen durch Erkennungsmethoden, die nur nach schädlichen Dateien statt nach auffälligem Verhalten suchen, leicht durch das Raster. Für Cato ist die wichtigste Lehre deshalb, einen entdeckten C2-Server nicht als einzigen Zugangsweg zu behandeln, sondern gezielt nach der stillen Persistenzschicht dahinter zu suchen.